Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

Microsoft vise plus large avec son programme bug bounty.

Le voilà désormais susceptible d’indemniser la découverte de failles dans des dépendances. Il s’engage plus précisément à récompenser les signalements de vulnérabilités critiques qui touchent directement ses services en ligne indépendamment de la provenance du code concerné – si ce dernier n’est pas déjà couvert par un bug bounty.

Autre évolution : tous les services en ligne de Microsoft sont maintenant inclus par défaut, sans restriction de périmètre. Cela vaut aussi pour les nouveaux services, dès leur publication.

Ces règles s’appliquent depuis le 11 décembre 2025. Elles sont rétroactives sur 90 jours.

Les vulnérabilités Hyper-V, potentiellement les plus lucratives

Le programme de bug bounty englobait déjà les composants tiers (ouverts ou propriétaires), mais inclus dans les services Microsoft.

Aux dernières nouvelles, les récompenses peuvent monter jusqu’à 100 000 $ pour les vulnérabilités qui affectent des services d’identité (compte Microsoft, ADD et certaines implémentations d’OpenID). C’est 60 k$ pour Azure ; 30 k$ pour Copilot ; 20 k$ pour Azure DevOps, Dynamics 365/Power Platform et l’API Defender for Endpoint ; 19,5 k$ pour Microsoft 365 ; 15 k$ pour .NET Core/ASP.NET Core et pour certains dépôts open source de Microsoft.

Sur la partie endpoints et on-prem, on atteint 250 k$ pour Hyper-V ; 100 k$ sur Windows Insider Preview ; 30 k$ sur Edge ; 15 k$ sur Microsoft 365 Insider.

En 2023 comme en 2024, le montant total des récompensés distribuées a avoisiné 17 M$, répartis à chaque fois entre un peu moins de 350 chercheurs.

À consulter en complément :

Microsoft 365 : un vol de données assisté par Copilot
ToolShell, cette faille SharePoint qui s’est construite en plusieurs temps
Project Zero (Google) change sa politique de divulgation de vulnérabilités
Roni Carta (Lupin & Holmes) : « Avec la cybersécurité offensive, notre objectif est de lutter contre les failles de la supply chain logicielle »

Illustration générée par IA

The post Microsoft ouvre son bug bounty au code tiers appeared first on Silicon.fr.